Datenschutz-Behörden nehmen Unternehmen stichprobenartig ins Visier

Wer den Kopf noch in den US-Wolken hat, wird vielleicht bald auf den harten Boden der Tatsachen zurückgeholt. Dass von hohen Bußgeldstrafen bei Datenschutzvergehen die Rede ist, ist nichts Neues. Wie jetzt das Handelsblatt jedoch berichtet, intensivieren deutsche Behörden ihre Ermittlungen in Bezug auf die Nutzung von US-Cloud-Lösungen.

Eine Datenübermittlung unter dem Dach des Privacy-Shield-Abkommens ist seit letztem Jahr nicht mehr möglich

Hintergrund ist das am 16. Juli 2020 gefällte EuGH-Urteil, in dessen Folge das EU-US Privacy Shield gekippt wurde. Bis zu diesem Zeitpunkt hatte das Abkommen als Rechtsgrundlage für den Transfer personenbezogener Daten in die USA gedient und war damit die Grundvoraussetzung zur Einhaltung der Datenschutz-Grundverordnung (DSGVO).

Für nichtig erklärt wurde das Abkommen, da US-Gesetze – ganz konkret der Cloud Act und der Patriot Act – in starkem Kontrast zur EU-DSGVO stehen. Sie sichern US-Behören weitreichende Rechte in Zusammenhang mit den in die USA übermittelten Daten zu und können amerikanische Anbieter dazu verpflichten, auch den Zugriff auf personenbezogene Daten und sensible Firmeninterna zu gewähren.

Rechtssicherheit würden europäische Cloud-Lösungen bringen

Cloud-Speicherdienste, Videokonferenz-Lösungen, Projektmanagement-Software, Collaboration-Tools… ein Großteil der Unternehmen ist täglich auf digitale Tools zur Kommunikation, Datenverwaltung und Zusammenarbeit angewiesen. Welchen Stellenwert Cloud-Lösungen dabei einnehmen, wurde spätestens mit Beginn des ersten Lockdowns, als ein Großteil der Belegschaft zur Eindämmung der Pandemie ins Homeoffice wechseln musste, deutlich. Ohne die genannten Dienste wäre der Umstieg schlicht und ergreifend nicht zu bewerkstelligen gewesen.

Cloud-Anbieter aus Deutschland bzw. aus der EU, wie Stackfield, unterliegen ausschließlich dem deutschen bzw. europäischen Recht – sind damit nicht von US-Gesetzen betroffen. Sie würden Rechtssicherheit mit sich bringen. Wer jedoch einen Blick in die nationalen Betriebe wirft, sieht schnell, dass der Anteil „heimischer“ Lösungen noch immer verhältnismäßig gering ist. Zahlreiche deutsche Unternehmen setzten weiterhin auf Lösungen von US-Cloud-Anbietern und riskieren damit, gegen EU-Recht zu verstoßen.

Deutsche Datenschutz-Behörden stellen nun tiefere Ermittlungen an

Seitdem das Privacy-Shield-Abkommen gekippt wurde, berichten die Schlagzeilen regelmäßig über Vorkommnisse, Vergehen und Entwicklungen zum Thema Datenschutz. Bereits im März wurden Vorderungen nach einem Verbot von Microsoft-Lösungen in der Verwaltung laut. Zuletzt sorgte ein Gerichtsbeschluss zur Nutzung des Newsletter-Anbieters Mailchimp für Aufmerksamkeit und rückte die anhaltende Diskussion um die Nutzung von US-Cloud-Lösungen weiter in den Fokus. Deutlich wurde in diesem Fall: Allein der Abschluss von Standardvertragsklauseln ist nicht ausreichend. Nun wollen die Behörden die Ermittlungen ausweiten.

Im Rahmen von Stichproben soll eine proaktive und bundesweite Ansprache von Unternehmen stattfinden, im Zuge derer begründet werden muss, weshalb auf Tools der US-Anbieter zurückgegriffen wird. Die Basis hierfür sollen von der "Taskforce" der Datenschutzkonferenz (DSK) entwickelte Fragenkataloge stellen.

Bei einer nicht zufriedenstellenden Begründung müsse es zu einem Anbieter-Wechsel kommen, wie DSK-Co-Vorsitzender Johannes Caspar dem Handelsblatt berichtete. Neben förmlichen Anordnungen könne es jedoch auch zu hohen Bußgeldern kommen.

Für Unternehmen stellt das Thema Datenschutz eine große Herausforderung dar

Weshalb US-Tools noch so stark auf dem deutschen Markt vertreten sind, liegt zu einem großen Teil auch daran, dass US-Anbieter in vielen Bereichen noch eine Monopolstellung genießen. Microsoft, Amazon und Google "beherrschen das Internet" und führen die digitale Entwicklung in vielen Bereichen. Viele ihrer Lösungen sind in den Betrieben seit Jahren im Einsatz. Schon alleine deshalb gestaltet sich ein Wechsel für die Unternehmen schwierig. Der Mangel an Alternativen aus dem europäischen Raum in einigen Bereichen macht es außerdem – und ganz gelinde gesagt – zu einer äußerst mühseligen Aufgabe, Ersatz zu finden.

Wird vergeblich auf ein neues Datentransfer-Abkommen gehofft?

Die Lösung des Problems sehen viele in einer Neuaushandlung eines Privacy-Shield-Nachfolgers. Tatsächlich war es aber nicht das erste Mal, dass ein Datentransfer-Abkommen zwischen den USA und der EU gekippt wurde. Safe Harbor, dem Vorgänger-Abkommen, wurde ein ähnliches Schicksal zuteil. Bisherige Abkommen sind also gescheitert, weshalb davon auszugehen ist, dass auch Neuaushandlungen auf wackeligem Fuß stehen werden. „Bleiben Gesetze wie der Cloud Act in der derartigen Form bestehen, wird man Abkommen wie das Privacy Shield auch weiterhin kritisch betrachten und ebenso lange besteht auch das Risiko, dass diese Abkommen gekippt werden.“, so Christopher Diesing, COO bei Stackfield.

Vor diesem Hintergrund sehen Datenschutzexperten ganz vorrangig auch an anderer Stelle massiven Handlungsbedarf. Was auf lange Frist geschehen muss, ist eine Stärkung der Datensouveränität und Autarkie auf dem digitalen Markt. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte bereits im letzten Jahr eine Verlagerung "aller in den USA gespeicherten personenbezogenen Daten nach Europa" gefordert. Bis dato beherrschen die US-Riesen jedoch den Markt und um wirtschaftlich nicht benachteiligt zu sein, fühlen sich viele noch gezwungen, auf US-Lösungen zurückzugreifen.

Es gibt sie: die sichere Alternative aus Deutschland und der EU

Dabei gibt es sie, die sicheren Alternativen aus dem europäischen Raum, die Rechtssicherheit zusichern können: Cloud-Speicherdienste, die eine datenschutzkonforme Dateiverwaltung auf deutschen Servern ermöglichen und Projektmanagement- und Kollaborationslösungen wie Stackfield, die uneingeschränkt den strengen Richtlinien der DSGVO entsprechen.

Stackfield beinhaltet eine Vielzahl der Tools, die Unternehmen täglich im Einsatz haben, in einem geschlossenen System, das alle Anforderungen der Datenschutz-Grundverordnung erfüllt und nach höchsten Standards geschützt wird. Nicht nur Rechtssicherheit und die Gewissheit, dass auch langfristig gesehen kein Anbieterwechsel mehr erfolgen muss, können Nutzer erwarten, sondern auch ein höchstes Maß an Sicherheit für alle sensiblen Daten – und hierzu zählen neben den personenbezogenen Daten eben auch kritische Interna. Eine clientseitige Ende-zu-Ende-Verschlüsselung führt dazu, dass selbst der Anbieter keine Einsicht in die Daten der Nutzer hat.